Witold Kepinski - 03 juni 2024

Hugging Face ontdekt ongeoorloofde toegang tot zijn Spaces-platform

AI en ML platform specialist Hugging Face meldt dat er een ongeoorloofde toegang tot zijn Spaces-platform gedetecteerd, specifiek gerelateerd aan Spaces-geheimen. "Als gevolg hiervan hebben we het vermoeden dat er zonder toestemming toegang kon worden verkregen tot een deel van de geheimen van Spaces".

Hugging Face ontdekt ongeoorloofde toegang tot zijn Spaces-platform image

Hugging Face meldt in een blog: 'Als eerste herstelstap hebben we een aantal HF-tokens ingetrokken die in deze geheimen aanwezig waren. Gebruikers van wie de tokens zijn ingetrokken, hebben al een e-mailmelding ontvangen. We raden u aan elke sleutel of token te vernieuwen en te overwegen uw HF-tokens over te zetten naar fijnmazige toegangstokens, die de nieuwe standaard zijn.

We werken samen met externe forensische specialisten op het gebied van cyberbeveiliging om het probleem te onderzoeken en ons beveiligingsbeleid en onze beveiligingsprocedures te herzien.

De afgelopen dagen hebben we nog andere belangrijke verbeteringen aangebracht aan de beveiliging van de Spaces-infrastructuur, waaronder het volledig verwijderen van organisatietokens (wat heeft geresulteerd in betere traceerbaarheid en auditmogelijkheden), het implementeren van Key Management Service (KMS) voor Spaces-geheimen, het versterken en uitbreiden van onze het vermogen van het systeem om gelekte tokens te identificeren en deze proactief ongeldig te maken, en meer in het algemeen onze beveiliging over de hele linie te verbeteren. We zijn ook van plan om in de nabije toekomst de ‘klassieke’ lees- en schrijftokens volledig af te schaffen, zodra fijnmazige toegangstokens de functiepariteit bereiken. We zullen elk mogelijk gerelateerd incident blijven onderzoeken.

Ten slotte hebben we dit incident ook gemeld aan wetshandhavingsinstanties en gegevensbeschermingsautoriteiten.

Wij betreuren ten zeerste de verstoring die dit incident mogelijk heeft veroorzaakt en begrijpen het ongemak dat dit voor u kan hebben veroorzaakt. Wij beloven dit te zullen gebruiken als een kans om de veiligheid van onze gehele infrastructuur te versterken. Voor vragen kunt u contact met ons opnemen via security@huggingface.co.'

Axians 12/11/2024 t/m 26/11/2024 BN+BW